VIRUS BEAGLE...AIUTOOOO

[baldi77g]

Ciao a tutti! ho preso il virus bagle.. ho gia' provato avira antivir rescue cd ma nn ci sono riuscito ad eliminarlo!
non mi fa' scaricare eliblaga!
Come posso fare?!!!
Vi prego aiutatemi!
ciao

[girovago]

Nel link sotto trovi tutta la procedura per l'eliminazione del Bagle. Il Bagle si prende soprrattutto con il p2p. I crack e i keygen costituiscono i veicoli privilegiati per questo malware.
http://forum.wininizio.it/index.php?showtopic=93833

[shel]

ciao

e' normale che non ti fa' scaricare niente, alrimenti che bagle sarebbe?

con l'antivirus non ottieni nulla- ci vogliono dei programmi specifici- segui il consiglio prima del mio- appena fatto(sempre che riesci, visto che il bagle ha molte varianti) dovresti fare una scansione con findkill

[Luke57]

Ciao, esegui questa procedura:
scarica combofix sul desktop
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
devi rinominare il file prima di salvarlo sul desktop in abc.exe
(per rinominare il file, quando lo scarichi ti chiede dove salvarlo e ti compare la casella "nome file" ,basta che cambi il nome che ti appare in abc.exe)
Fatto questo, clicca su start>esegui, nel box bianco copia e incolla questo comando, virgolette comprese:

"%userprofile%\desktop\abc.exe" /killall

Premi OK, se tutto va bene parte il programma che potrebbe impiegare molto (non fare altre manovre durante la scansione),una volta terminata, se tutto è andato bene, in C:\ dovresti trovare il file combofix.txt , riavvia in modalità normale e posta il contenuto del file o allegalo.

[baldi77g]

ancora l'antivirus nn funziona... l'ho disinstallato.
Allego il risultato della scansione




ComboFix 09-02-05.02 - FAL 2009-02-06 10.41.13.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.3.1252.1.1040.18.703.499 [GMT 1:00]
Eseguito da: c:\documents and settings\FAL\desktop\abc.exe
Opzioni usate :: /killall
AV: Avira AntiVir PersonalEdition *On-access scanning enabled* (Updated)
* Creato nuovo punto di ripristino

ATTENZIONE - QUESTO PC NON HA LA CONSOLE DI RIPRISTINO DI EMERGENZA INSTALLATA !!
.

((((((((((((((((((((((((((((((((((((( Altre eliminazioni )))))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\documents and settings\FAL\Menu Avvio\Programmi\Videos.url
c:\documents and settings\FAL\Preferiti\Videos.url
c:\programmi\A360
c:\programmi\A360\av360.exe
c:\windows\system32\_000111_.tmp.dll
c:\windows\system32\aasbobkq.ini
c:\windows\system32\chyaggiy.ini
c:\windows\system32\EOVwDJlm.ini
c:\windows\system32\EOVwDJlm.ini2
c:\windows\system32\giykspbr.ini
c:\windows\system32\lqgqwlid.ini
c:\windows\system32\mdmighjw.ini
c:\windows\system32\mlJDwVOE.dll
c:\windows\system32\qqroajpk.ini
c:\windows\system32\quqvnpco.ini
c:\windows\system32\ruuppsho.ini
c:\windows\system32\rvklkktt.ini
c:\windows\system32\sdptxfyw.dll
c:\windows\system32\shruxnir.ini
c:\windows\system32\wpevgbdf.ini
c:\windows\system32\wyfxtpds.ini
c:\windows\Tasks\tpphzaeh.job

.
((((((((((((((((((((((((( Files Creati Da 2009-01-06 al 2009-02-06 )))))))))))))))))))))))))))))))))))
.

2009-02-04 16:47 . 2009-02-04 16:47 297,984 --a------ c:\windows\system32\winconfig.dll
2009-02-04 16:46 . 2009-02-04 16:46 <DIR> d-------- c:\programmi\Common Files
2009-01-30 12:14 . 2009-01-30 12:16 250 --a------ c:\windows\gmer.ini
2009-01-30 09:33 . 2009-01-30 09:33 <DIR> d-------- c:\programmi\Angle Interactive
2009-01-30 09:33 . 2009-01-30 09:33 <DIR> d-------- C:\ProgramData
2009-01-29 18:32 . 2009-01-29 18:41 <DIR> d-------- c:\windows\Google Toolbar
2009-01-26 16:26 . 2009-02-05 18:52 <DIR> d-------- c:\programmi\FindyKill
2009-01-26 13:01 . 2009-01-29 18:12 <DIR> d-------- c:\windows\BDOSCAN8
2009-01-26 10:55 . 2009-01-26 10:55 <DIR> d-------- C:\fsaua.data
2009-01-23 19:11 . 2009-01-23 19:11 <DIR> d-------- c:\documents and settings\FAL\Dati applicazioni\AVGTOOLBAR
2009-01-20 09:22 . 2009-01-20 09:21 410,984 --a------ c:\windows\system32\deploytk.dll
2009-01-16 11:20 . 2009-01-16 12:28 <DIR> d-------- c:\documents and settings\FAL\Dati applicazioni\uTorrent
2009-01-16 10:06 . 2009-01-16 16:19 <DIR> d-------- c:\windows\system32\Adobe
2009-01-15 17:42 . 2009-01-15 17:42 <DIR> d-------- c:\documents and settings\All Users\Dati applicazioni\TVU Networks

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-02-05 15:59 --------- d-----w c:\programmi\Lx_cats
2009-02-04 10:39 --------- d-----w c:\documents and settings\All Users\Dati applicazioni\Google Updater
2009-02-03 16:29 --------- d-----w c:\programmi\eMule
2009-01-26 14:07 --------- d-----w c:\documents and settings\All Users\Dati applicazioni\avg8
2009-01-22 09:36 --------- d-----w c:\programmi\Google
2009-01-20 08:21 --------- d-----w c:\programmi\Java
2009-01-17 11:12 --------- d-----w c:\programmi\File comuni\InstallShield
2009-01-17 10:17 --------- d--h--w c:\programmi\InstallShield Installation Information
2008-12-30 17:56 --------- d-----w c:\programmi\HNK beta 6
2008-12-30 14:52 --------- d-----w c:\programmi\Electronic Arts
2008-12-30 14:08 --------- d-----w c:\programmi\Image-Line
2008-12-30 12:00 --------- d-----w c:\documents and settings\FAL\Dati applicazioni\Juce VST Host
2008-12-29 16:30 --------- d-----w c:\programmi\VstPlugins
2008-12-18 17:38 --------- d-----w c:\documents and settings\FAL\Dati applicazioni\Propellerhead Software
2008-12-18 17:37 --------- d-----w c:\documents and settings\All Users\Dati applicazioni\Propellerhead Software
2008-12-17 18:00 --------- d-----w c:\programmi\AVS4YOU
2008-12-17 17:57 --------- d-----w c:\documents and settings\All Users\Dati applicazioni\AVS4YOU
2008-12-17 17:56 --------- d-----w c:\programmi\File comuni\AVSMedia
2008-12-17 17:56 --------- d-----w c:\documents and settings\FAL\Dati applicazioni\AVS4YOU
2008-12-17 17:32 --------- d-----w c:\documents and settings\FAL\Dati applicazioni\HighAndes
2008-12-17 17:32 --------- d-----w c:\documents and settings\All Users\Dati applicazioni\HighAndes
2008-12-17 10:03 --------- d-----w c:\programmi\Outsim
2008-12-11 10:57 333,952 ----a-w c:\windows\system32\drivers\srv.sys
2008-12-09 17:57 --------- d-----w c:\documents and settings\FAL\Dati applicazioni\dvdcss
2008-10-01 08:06 32,768 --sha-w c:\windows\system32\config\systemprofile\Impostazioni locali\Cronologia\History.IE5\MSHist012008100120081002\index.dat
.

((((((((((((((((((((((((((((((((((((( Punti Reg Caricati ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Nota* i valori vuoti & legittimi/default non sono visualizzati.
REGEDIT4

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{D263FA6D-84CC-48A8-9AF6-C664362B7A5B}]
2009-02-04 16:47 297984 --a------ c:\windows\system32\winconfig.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ATIPTA"="c:\programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2003-07-29 335872]
"Smapp"="c:\programmi\Analog Devices\SoundMAX\SMTray.exe" [2003-07-30 143360]
"LXBXCATS"="c:\windows\System32\spool\DRIVERS\W32X86\3\LXBXtime.dll" [2004-11-02 69632]
"lxbxmon.exe"="c:\programmi\Lexmark 7100 Series\lxbxmon.exe" [2005-01-18 196608]
"FaxCenterServer4_in_1"="c:\programmi\Lexmark 7100 Series\fm3032.exe" [2004-12-06 286720]
"EzPrint"="c:\programmi\Lexmark 7100 Series\ezprint.exe" [2004-09-17 61440]
"SunJavaUpdateSched"="c:\programmi\Java\jre6\bin\jusched.exe" [2009-01-20 136600]
"Adobe Reader Speed Launcher"="c:\programmi\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792]
"avgnt"="c:\programmi\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2009-01-26 266497]
"ATIModeChange"="Ati2mdxx.exe" [2001-09-04 c:\windows\system32\Ati2mdxx.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001
"UpdatesDisableNotify"=dword:00000001
"AntiVirusOverride"=dword:00000001
"FirewallOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\WINDOWS\\system32\\lxbxcoms.exe"=
"c:\\WINDOWS\\system32\\spool\\drivers\\w32x86\\3\\lxbxPSWX.EXE"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programmi\\Messenger\\msmsgs.exe"=
"c:\\Programmi\\NetMeeting\\conf.exe"=
"c:\\Programmi\\eMule\\emule.exe"=
"c:\\Programmi\\Adobe\\eMule\\emule.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"135:TCP"= 135:TCP:TCP Port 135
"5000:TCP"= 5000:TCP:TCP Port 5000
"5001:TCP"= 5001:TCP:TCP Port 5001
"5002:TCP"= 5002:TCP:TCP Port 5002
"5003:TCP"= 5003:TCP:TCP Port 5003
"5004:TCP"= 5004:TCP:TCP Port 5004
"5005:TCP"= 5005:TCP:TCP Port 5005
"5006:TCP"= 5006:TCP:TCP Port 5006
"5007:TCP"= 5007:TCP:TCP Port 5007
"5008:TCP"= 5008:TCP:TCP Port 5008
"5009:TCP"= 5009:TCP:TCP Port 5009
"5010:TCP"= 5010:TCP:TCP Port 5010
"5011:TCP"= 5011:TCP:TCP Port 5011
"5012:TCP"= 5012:TCP:TCP Port 5012
"5013:TCP"= 5013:TCP:TCP Port 5013
"5014:TCP"= 5014:TCP:TCP Port 5014
"5015:TCP"= 5015:TCP:TCP Port 5015
"5016:TCP"= 5016:TCP:TCP Port 5016
"5017:TCP"= 5017:TCP:TCP Port 5017
"5018:TCP"= 5018:TCP:TCP Port 5018
"5019:TCP"= 5019:TCP:TCP Port 5019
"5020:TCP"= 5020:TCP:TCP Port 5020

R3 EMCR;EMCR;c:\windows\system32\drivers\EMCR7SK.sys [2007-07-12 72064]
.
Contenuto della cartella 'Scheduled Tasks'

2009-02-04 c:\windows\Tasks\OGADaily.job
- c:\windows\system32\OGAVerify.exe [2008-04-23 16:17]

2009-02-06 c:\windows\Tasks\OGALogon.job
- c:\windows\system32\OGAVerify.exe [2008-04-23 16:17]
.
- - - - CHIAVI ORFANE RIMOSSE - - - -

BHO-{49ED78EB-A9D9-40C3-B6FD-056DBC2739A6} - c:\windows\system32\mlJDwVOE.dll
HKCU-Run-6BE410D118E94BC3A67FC89D4D5CE1A5 - c:\programmi\A360\av360.exe
Notify-__c007E5BE - c:\windows\system32\__c007E5BE.dat


.
------- Scansione supplementare -------
.
uStart Page = hxxp://www.ircdown.com/it/index.php?rvs ... 9794e=6114
uSearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8
IE: E&sporta in Microsoft Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
TCP: {22A0AC95-65DB-45D8-8EBE-23A0BDF4DE2F} = 192.168.1.1
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-02-06 10:45:14
Windows 5.1.2600 Service Pack 3 NTFS

scansione processi nascosti ...

scansione entrate autostart nascoste ...

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
LXBXCATS = rundll32 c:\windows\System32\spool\DRIVERS\W32X86\3\LXBXtime.dll,_RunDLLEntry@16???????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????

Scansione files nascosti ...

Scansione completata con successo
Files nascosti: 0

**************************************************************************
.
--------------------- CHIAVI DI REGISTRO BLOCCATE ---------------------

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\Ø•€|ÿÿÿÿ•€|ù•9~*]
"0140311900063D11C8EF10054038389C"="C?\\WINDOWS\\system32\\FM20ENU.DLL"

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Reinstall\*+á•=]
"DisplayName"=""
"DeviceDesc"=""
"ProviderName"=""
"MFG"="????????\02"
"ReinstallString"="??"
"DeviceInstanceIds"=multi:"mbusdrv\\smbus\\smbusati.inf\00"
.
------------------------ Altri processi in esecuzione ------------------------
.
c:\programmi\Google\Common\Google Updater\GoogleUpdaterService.exe
c:\programmi\Java\jre6\bin\jqs.exe
c:\programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
c:\programmi\Analog Devices\SoundMAX\SMAgent.exe
c:\windows\system32\wdfmgr.exe
c:\windows\system32\lxbxcoms.exe
.
**************************************************************************
.
Ora fine scansione: 2009-02-06 10:49:54 - Il pc è stato riavviato
ComboFix-quarantined-files.txt 2009-02-06 09:49:47

Pre-Run: 67.197.759.488 byte disponibili
Post-Run: 67,135,528,960 byte disponibili

196 --- E O F --- 2009-01-14 12:01:39

[Luke57]

Ciao, non eri per niente infettato dal bagle, è un'infezione da trojan vundo, scarica malwarebytes http://www.malwarebytes.org/mbam.php
aggiornalo e fai una scansione completa, posta il suo report senza eliminare niente per adesso.

[baldi77g]

Grazie!
ecco il risultato!


Malwarebytes' Anti-Malware 1.33
Versione del database: 1733
Windows 5.1.2600 Service Pack 3

2009-02-06 15:43:44
mbam-log-2009-02-06 (15-43-34).txt

Tipo di scansione: Scansione completa (C:\|)
Elementi scansionati: 79803
Tempo trascorso: 35 minute(s), 24 second(s)

Processi delle memoria infetti: 0
Moduli della memoria infetti: 1
Chiavi di registro infette: 5
Valori di registro infetti: 0
Elementi dato del registro infetti: 0
Cartelle infette: 1
File infetti: 6

Processi delle memoria infetti:
(Nessun elemento malevolo rilevato)

Moduli della memoria infetti:
C:\WINDOWS\system32\winconfig.dll (Trojan.FakeAlert) -> No action taken.

Chiavi di registro infette:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{a072ec12-a40b-41dd-9a1a-cdb848b70f3c} (Rogue.Installer) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{bd4f7a6d-0107-4bdf-b72b-021b717b06ce} (Trojan.FakeAlert) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{d263fa6d-84cc-48a8-9af6-c664362b7a5b} (Trojan.FakeAlert) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{d263fa6d-84cc-48a8-9af6-c664362b7a5b} (Trojan.FakeAlert) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{d263fa6d-84cc-48a8-9af6-c664362b7a5b} (Trojan.FakeAlert) -> No action taken.

Valori di registro infetti:
(Nessun elemento malevolo rilevato)

Elementi dato del registro infetti:
(Nessun elemento malevolo rilevato)

Cartelle infette:
C:\Documents and Settings\FAL\Menu Avvio\A360 (Rogue.A360Antivirus) -> No action taken.

File infetti:
C:\Qoobox\Quarantine\C\WINDOWS\system32\mlJDwVOE.dll.vir (Trojan.Vundo) -> No action taken.
C:\System Volume Information\_restore{8E523480-9D11-4482-929E-330A9DE912D2}\RP2\A0000066.dll (Trojan.Vundo) -> No action taken.
C:\Documents and Settings\FAL\Menu Avvio\A360\A360.lnk (Rogue.A360Antivirus) -> No action taken.
C:\Documents and Settings\FAL\Menu Avvio\A360\Help.lnk (Rogue.A360Antivirus) -> No action taken.
C:\Documents and Settings\FAL\Menu Avvio\A360\Registration.lnk (Rogue.A360Antivirus) -> No action taken.
C:\WINDOWS\system32\winconfig.dll (Trojan.FakeAlert) -> No action taken.

[baldi77g]

adesso cosa devo fare?

[Luke57]

Seleziona gli elemnti trovati da malwarebytes e premi Rimuovi elementi selezionati.

[baldi77g]

Grazie!
ho reinstallato avira antivir e spybot!
ho fatto delle scansioni e mi hanno trovato dei virus e li hanno messi in quarantena....
Devo fare qualcos'altro?
in c: ho una cartella QUOOBOX! che cosa e'! la devo eliminare?


aspetto notizie! Grazie di nuovo!

[Luke57]

Ciao, cancella quella cartella (ci sono le eleiminazioni di combofi) poi disistalla il programma in questo modo:
start>esegui>combofix /u (lo incolli nello spazio bianco)>OK.

[toninho82]

Ciao a tutti.Penso di essere infetto dal virus bagle perchè non mi funziona l'antivirus.ho seguito la guida riportata sopra e allego il risultato.

[Luke57]

Ciao, nel report non si intravede traccia del bagle. Prova a reinstallare l'antivirus.

[toninho82]

Salve a tutti.grazie per l'aiuto.provo a reinstallare l'antivirus.

[toninho82]

Ho fatto la prova e va tutto bene.Grazie mille per l'aiuto.Buon lavoro.A presto.